Internes Netzwerk nicht erreichbar



  • Hallo zusammen,

    ich habe folgendes Problem:

    Ich habe Open VPN auf der PfSense installiert. Soweit funktioniert die Verbindung und ich kann mich per VPN erfolgreich einloggen und die Weboberfläche der PfSense erreichen.

    Leider war es das da schon. Ich kann dann im internen Netzwerk nicht einen Server / Computer oder ähnliches anpingen.

    Zum Netzwerk:

    Netzwerk aus der die VPN Verbindung aufgebaut wird: 192.168.178.1

    Lokales Netzwerk, da wo ich PfSnse steht: 10.109.70.1

    Open VPN Konfig:

    Tunnel Network: 10.109.70.0/24

    Local Network: 10.109.70.0/24

    Aktuell habe ich sämtliche Push Kommandos mal rausgenommen. Die von PfSense angelegten Rules sind auch da. Einmal in WAN für den UDP Port und bei Open VPN.

    Könnt ihr mir helfen? Welche Informationen werden noch benötigt für eine Hilfestellung?


  • Moderator

    Dann hast du doch dein Problem schon selbst beschrieben!

    Tunnel Network != Local Network

    Hier soll geroutet werden, du hast aber beides aufs gleiche Netz gesetzt, was nicht erlaubt ist bzw einfach nicht funktionieren kann. Deshalb steht es auch in der pfSense dick drin, dass man ein ANDERES Netz als das LAN nehmen soll als Tunnel.

    Grüße



  • Jetzt habe ich das geändert. nun komme ich aber nicht mehr per VPN auf die PfSense drauf und Open VPN Client gibt mir folgende Meldungen raus:

    Fri Mar 17 15:09:33 2017 Warning: route gateway is not reachable on any active network adapters: 10.0.8.1

    Tunnel Network ist nun 10.0.8.0.



  • Hier noch das Routing Print:

    Aktive Routen:

    Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
    0.0.0.0          0.0.0.0    192.168.178.1  192.168.178.15    281
    0.0.0.0        128.0.0.0        10.0.8.1  192.168.178.15    26
    10.109.70.0    255.255.255.0        10.0.8.1  192.168.178.15    26
    10.109.70.2  255.255.255.255  Auf Verbindung      10.109.70.2    291
    78.94.139.142  255.255.255.255    192.168.178.1  192.168.178.15    25
    127.0.0.0        255.0.0.0  Auf Verbindung        127.0.0.1    331
    127.0.0.1  255.255.255.255  Auf Verbindung        127.0.0.1    331
    127.255.255.255  255.255.255.255  Auf Verbindung        127.0.0.1    331
    128.0.0.0        128.0.0.0        10.0.8.1  192.168.178.15    26
    192.168.178.0    255.255.255.0  Auf Verbindung    192.168.178.15    281
    192.168.178.15  255.255.255.255  Auf Verbindung    192.168.178.15    281
    192.168.178.255  255.255.255.255  Auf Verbindung    192.168.178.15    281
            224.0.0.0        240.0.0.0  Auf Verbindung        127.0.0.1    331
            224.0.0.0        240.0.0.0  Auf Verbindung    192.168.178.15    281
            224.0.0.0        240.0.0.0  Auf Verbindung      10.109.70.2    291
      255.255.255.255  255.255.255.255  Auf Verbindung        127.0.0.1    331
      255.255.255.255  255.255.255.255  Auf Verbindung    192.168.178.15    281
      255.255.255.255  255.255.255.255  Auf Verbindung      10.109.70.2    291


  • Moderator

    Die Einstellung nicht nur am Server sondern auch am Client korrekt geändert?



  • Hallo,

    außer dass ich die Config nochmal neu reingeladen habe, habe ich keinerlei Einstellungen am Client selbst gemacht.



  • Nach einem Reset des Adapters unter Windows 10 wird nun die Verbindung korrekt aufgbaut.

    Das Problem mit dem internen Netzwerk (kein Ping an die Server / clients möglich) besteht abe rimmer noch :-(

    Laut ipconfig /all ist das Standard Gateway leer. und als DHCP Server ist die PfSense angegeben. Ich denke das Gateway muss ich noch irgendwie füllen. Aber wie? Server- oder Clientsetig?

    Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
              0.0.0.0          0.0.0.0    192.168.178.1  192.168.178.15    281
            10.0.8.0    255.255.255.0  Auf Verbindung          10.0.8.2    291
            10.0.8.2  255.255.255.255  Auf Verbindung          10.0.8.2    291
          10.0.8.255  255.255.255.255  Auf Verbindung          10.0.8.2    291
          10.109.70.0    255.255.255.0        10.0.8.1        10.0.8.2    35
            127.0.0.0        255.0.0.0  Auf Verbindung        127.0.0.1    331
            127.0.0.1  255.255.255.255  Auf Verbindung        127.0.0.1    331
      127.255.255.255  255.255.255.255  Auf Verbindung        127.0.0.1    331
        192.168.178.0    255.255.255.0  Auf Verbindung    192.168.178.15    281
      192.168.178.15  255.255.255.255  Auf Verbindung    192.168.178.15    281
      192.168.178.255  255.255.255.255  Auf Verbindung    192.168.178.15    281
            224.0.0.0        240.0.0.0  Auf Verbindung        127.0.0.1    331
            224.0.0.0        240.0.0.0  Auf Verbindung    192.168.178.15    281
            224.0.0.0        240.0.0.0  Auf Verbindung          10.0.8.2    291
      255.255.255.255  255.255.255.255  Auf Verbindung        127.0.0.1    331
      255.255.255.255  255.255.255.255  Auf Verbindung    192.168.178.15    281
      255.255.255.255  255.255.255.255  Auf Verbindung          10.0.8.2    291



  • @caschti84:

    Laut ipconfig /all ist das Standard Gateway leer. und als DHCP Server ist die PfSense angegeben. Ich denke das Gateway muss ich noch irgendwie füllen. Aber wie? Server- oder Clientsetig?

    Du meinst das Standardgateway beim TAP Adapter? Das darf leer sein.
    Standardgateway bedeutet, dass alle Pakete dahin geschickt werden, deren Ziel nicht im eigenen Subnetz liegt und für die es keine spezielle Route gibt.

    Der DHCP-Server sollte der VPN-Server sein, also 10.0.8.2 in deinem Fall.

    Die Routen am Client stimmen soweit, dass du das Remote-LAN erreichen können solltest.

    Überprüfe diese beiden Punkte:

    • Blockiert die System-Firewall des Zielservers den Zugriff?

    • Ist die LAN-Adresse der pfSense das Standardgateway am Zielserver?



  • Hey,

    ich habe einen seperaten DHCP und DNS Server im Netzwerk. Vielleicht klappt es deshalb nicht und ich muss in PfSense den anderen DHCP / DNS noch eintragen. Nur wo?

    Grüße, Stephan



  • Der DHCP Server vom virtuellen TAP Adapter ist der, von dem der Client seine Adresse aus dem VPN-Tunnel bekommt. Den wirst du nicht los, der gilt aber auch ausschließlich für den TAP Adapter.

    Einen DNS musst du in der Server-Konfig nur angeben, wenn du über die Namen der Remote-Hosts auf diese zugreifen willst. Ansonsten verwendet das Client-System seinen Defaul-DNS.



  • Hmm, ich habe mit allen VPN Protokollen das selbe Problem.

    Kann mir jemand Rules für die Freischaltung des LAN Zugriffes mitteilen? Solangsam blick ich wirklich nicht mehr durch :-(.

    Welche Rules bauch ich wo für L2TP, IPSec und Open VPN?